快速使用指南
2011年12月
版权声明
Chinasec(安元TM)可信网络安全平台快速使用指南
Version 2.0
尊敬的用户:
非常感谢您查看本手册。本手册介绍Chinasec(安元TM)可信网络安全平台安装和入门的使用方法,为用户在使用本系统时提供参考。本手册和系统软件一并出售。
Copyright ? 2011 by Wondersoft,北京明朝万达科技有限公司版权所有。
未经书面许可,用户不得使用任何形式或任何途径,包括使用影印、录制在内的电子或机械手段以及其他信息储存和恢复系统等对本手册任何部分进行复制或传播。
警告和承诺:
本手册用于提供关于“Chinasec(安元TM)可信网络安全平台”的操作使用信息。尽管我们做了大量的努力使本手册尽可能的完备和准确,但疏漏和缺陷之处在所难免。
系统版权:
中文名称:Chinasec(安元TM)可信网络安全平台
开发单位:北京明朝万达科技有限公司
系统版权单位:
北京明朝万达科技有限公司
地址:北京市海淀区知春路太月园3号楼6层
电话:010-********
传真:010-********-8021
邮箱:support@https://www.doczj.com/doc/ea13400813.html,
Chinasec (安元TM)可信网络安全平台是北京明朝万达科技有限公司自主研发的受法律保护的商业软件。遵守法律是共同的责任,任何人未经授权人许可,不得以任何形式或方法,出于任何目的复制或传播本软件,否则权利人将追究侵权者责任,并保留要求赔偿的权利。
反馈信息:
如果您对本手册有任何疑问、意见或建议,请与我们联系。感谢您对我们的支持和帮助。
产品规格说明书
产品名称Chinasec(安元TM)可信网络安全平台V 2.4
产品形态光盘(软件)+ 电子钥匙
功能模块□基本框架
□可信网络认证系统(TIS)
□可信移动存储设备管理系统(RSM)
□可信网络保密系统(VCN)标准包
□可信网络保密系统(VCN)增强包
□可信网络数据管理系统(DMS)
□可信网络监控系统(MGT)
□可信应用保护系统(APS)
产品运行环境
软件环境要求服务器:Windows 2000 / Windows 2003(32位) / Windows 2008(32位)
数据库:MY SQL
客户端:Windows 2000 / Windows XP(32位) /
Windows 7(32位)
硬件环境要求服务器硬件配置:CPU:>=2.0G /内存:>=2G / 硬
盘:>=80G
拥有一个或以上的空闲USB接口(1.0 / 2.0)
客户端硬件配置:CPU:>=2.0G / 内存:>=512M /硬
盘:>=40G
北京明朝万达科技有限公司
目录
1.安装指南 (4)
1.1. 服务器端程序配置 (4)
1.1.1. 安装环境 (4)
1.1.2. 服务器端程序安装步骤 (4)
1.1.3. 服务器端程序升级 (5)
1.1.4. 服务器端程序卸载 (5)
1.1.5. 服务器状态检测 (6)
1.2. 客户端程序配置 (7)
1.2.1. 安装环境 (7)
1.2.2. 客户端程序安装步骤 (7)
1.2.3. 客户端程序升级 (8)
1.2.4. 客户端程序卸载 (9)
1.3. 控制台程序安装 (13)
1.3.1. 安装环境 (13)
1.3.2. 控制台程序安装步骤 (13)
1.3.3. 控制台程序卸载 (14)
1.4. 报表统计系统安装 (15)
1.4.1. 安装环境 (15)
1.4.2. 报表统计系统安装步骤 (15)
2.软件使用指南 (16)
2.1. 启动控制台 (16)
2.2. 控制台布局 (17)
2.3. 系统管理 (18)
2.3.1. 系统管理操作介绍 (18)
2.4. 用户管理 (19)
2.5. 计算机管理 (22)
2.6. 规则与策略管理 (23)
2.6.1. 规则管理 (23)
2.6.2. 策略管理 (25)
2.7. 日志管理 (28)
2.7.1. 审计日志 (28)
2.8. 报表统计系统 (28)
2.8.1. 用户登录 (28)
2.8.2. 报表统计功能 (29)
1. 安装指南
1.1. 服务器端程序配置
1.1.1. 安装环境
硬件环境
至少具有一个空闲的USB端口(支持USB 1.0 / 1.1 / 2.0端口);
一台可用的光盘驱动器;
建议:采用专门的服务器硬件作为服务器端程序的硬件平台。
软件环境
程序支持的操作系统:Windows 2000 / Windows 2003 (32位) / Windows 2008 (32位);
程序支持的数据库:Mysql。
安装确认事项
在安装本系统的服务器端程序前,请确认以下几个方面:
1)安装光盘中含有服务器端的安装程序文件Setup_Z_SVR.exe;
2)您已经拥有合法的服务器令牌;
3)目标计算机没有安装任何本系统的客户端软件;
4)若您计划将控制台程序和服务器程序安装到同一计算机上,请先安装控制台软件;
5)若服务器操作系统上启用了防火墙,请确认服务器端程序需要使用的端口均处于开放状态。具体设置方法参见安装注意事项。
1.1.
2. 服务器端程序安装步骤
1)请将产品安装光盘放入光盘驱动器,找到其中的服务器端程序安装目录,执行安装文件Setup_Z_SVR.exe,跟随安装向导的指引完成服务器端程序的安装工作;
2)在完成服务器端程序的安装后,请您重新启动服务器端计算机;
3)重启后,将服务器令牌插入服务器端计算机,服务器程序即可正常工作。
* 安装注意事项
若安装服务器端程序的计算机操作系统上安装了桌面防火墙,或者使用了Windows XP / 2003系列的自带防火墙,请确认服务器使用的端口均处于开放状态。服务器端程序使用的端口号为:50000~50030,共计31个端口;使用的协议为TCP / IP、UDP。
1.1.3. 服务器端程序升级
系统拥有两种服务器端程序的升级包文件(UpdateSVR.exe / UpdateSVR_MINI.exe):
1)UpdateSVR_MINI.exe:服务器端的程序升级文件。运行升级包文件后,服务器端的程序将进行升级,升级成功后,重启服务器端的计算机即可生效;
2)UpdateSVR.exe:服务器端以及客户端程序的全面升级文件。运行升级包文件后,服务器端的程序将进行升级,同时将驱动客户端程序自动升级(注:服务器端计算机的data目录下有客户端升级文件Update.tis),升级成功后,重启服务器端的计算机即可生效。
注意事项
如果服务器端的程序从非数据库版本升级到数据库版本时,不能直接运行服务器升级包。在这种情况下,需要卸载原来的服务器端程序,并备份相应的data目录,安装带有数据库版本的服务器端程序后,登陆控制台,将原先备份的data目录通过“系统运行参数管理”->“备份/恢复系统数据”功能导入,即可实现升级。
1.1.4. 服务器端程序卸载
卸载服务器端程序的方法有以下两种:
?方法一:打开系统开始菜单下“所有程序”->“Chinasec(安元TM)可信系统服务器”,点击“卸载Chinasec(安元TM)可信系统服务器”;
?方法二:打开“控制面版”->“添加或删除程序”,在其程序列表中选中“Chinasec(安元TM)可信系统服务器”,点击删除。
* 注意:如果您需要保留服务器端计算机的数据,请在卸载前,进行服务器端计算机数据的备份工作。
1.1.5. 服务器状态检测
检测方法
由于服务器端的软件为后台服务,因此可以通过下述方式,检测服务器是否正常运行:
1)准备一台可以和服务器端计算机进行网络通讯的计算机(使用PING命令可验证);
2)打开“开始”菜单的“运行”界面,键入“T elnet 服务器端计算机IP地址50000”,如图1.1-1所示:
图1.1-1 检测服务器状态命令
3)若服务器工作正常,将弹出显示服务器运行状态的窗口。若不出现此界面,请检查本计算机与服务器端计算机之间的网络连接,以及服务器端计算机的防火墙设置。
服务器状态信息解释:
1)Server Status 服务器状态:显示服务器版本号、客户端升级版本号、服务器开启时间;
2)服务器令牌的状态:如果没有插入或者插入了错误的令牌,将显示“Key Not Presen t”。如果插入了正确的令牌,则显示服务器令牌的相关内容,如许可时间、软件序列号、硬件序列号、首次使用时间、许可产品列表、许可客户端数量等信息。许可产品列表代号为:
◆TIS:可信网络认证系统;
◆VCN:可信网络保密系统;
◆MGT:可信网络监控系统;
◆DMS:可信数据管理系统;
3)Register Status 服务器注册状态:如果未注册则显示“Not Registed”,否则将显示令牌的注册信息;
4)Load Status服务器的负载情况依次为:总计处理线程数量、当前处理线程数量和峰值处理线程数量;
5)Data Status 服务器的数据情况,反映服务器当前的数据数量,依次为:用户(组)数量,客户端(组)数量、规则(组)数量、策略应用数量;
6)Devices 设备列表:系统相关设备以及设备相关信息的列表;
7)Controller 控制台登录情况:若有控制台登录,则显示控制台登录的IP地址,否则将显示“No Controller online”。
1.2. 客户端程序配置
1.2.1. 安装环境
硬件环境
至少具有一个处于空闲状态的USB端口(支持USB 1.0 / 1.1 / 2.0端口);
一台可用的光盘驱动器。
软件环境
程序支持的操作系统:Windows 2000 / Windows XP(32位) / Windows 7(32位)。
1.2.2. 客户端程序安装步骤
安装准备
在安装本系统的客户端程序之前,请确认以下几个方面:
1)您已经拥有合法的用户令牌(非可信认证系统,无需用户令牌);
2)您已拥有系统最新的客户端程序安装文件;
3)安装客户端程序的计算机可以正确连接服务器端计算机(可以使用PING命令验证);
4)安装时使用的用户为本机操作系统的管理员。
安装过程
1)请将产品安装光盘放入光盘驱动器,找到其中的客户端安装目录,执行安装文件Setup_Z_CLT.exe,请跟随安装向导的指引,并使用默认值进行操作;
2)安装过程中,将要求您输入服务器的IP地址,请输入正确的服务器IP地址以完成安装过程;
3)在完成客户端程序的安装后,请您重新启动计算机,以完成整个客户端程序的安装。
注意事项
客户端程序安装成功后,系统默认支持eSafe令牌,若要使用FT99令牌,需要用户在DOS命令行输入“tcccmd key 9”命令,然后重新启动安装有客户端程序的计算机。
1.2.3. 客户端程序升级
客户端程序手动升级
客户端程序的手动升级方法有两种,使用升级包文件Update_normal.exe或Update_Silent.exe:?方法一:使用Updata_normal.exe客户端普通升级包进行升级。运行升级包安装文件,升级成功后,根据系统提示,自动重新启动客户端计算机;
?方法二:使用Updata_Silent.exe客户端安静升级包进行升级。运行升级包安装文件,升级成功后无重新启动提示,需用户手动重新启动客户端计算机后生效。
客户端程序自动升级
成功升级服务器端计算机的程序后,管理员在控制台上可以选择性地对某些客户端计算机进行升级,收到升级命令的客户端计算机将自动升级客户端程序,升级的操作过程如下:
1)插入管理员令牌,登录控制台,打开计算机组根节点,鼠标右击需要升级的客户端计算机组节点或单个计算机节点。在右键菜单中,选择“升级客户端”选项,如图1.2-1所示:
图1.2-1升级客户端
2)服务器将会向客户端发送升级命令,发送成功后将弹出对话框提示发送成功,如图1.2-2所示:
图1.2-2发送升级客户端命令完成
3)服务器端计算机向客户端计算机发送升级包程序文件,控制台信息窗口中,计算机节点的“其他信息
1”信息栏将会出现“#”符号,如图1.2-3所示,当推包过程完成后,“#”符号将消失;
图1.2-3发送升级命令后计算机节点信息
4)重新启动客户端计算机,即可完成客户端程序的升级操作。
注意事项
在客户端程序版本与服务器程序版本不一致的情况下,控制台计算机节点“其它信息1”信息栏里的“IP地址”前将出现数字和符号,它们分别代表不同的含义:
①数字:偶数是代表Release版,除以2以后的结果数字是目前客户端的版本号;奇数是Beta版,将其加1除以2以后的结果数字是目前客户端的版本号。例如10除以2是5,指当前客户端的版本号是Release5;9加1除以2是5,指当前客户端的版本号是Beta5版;
②!:指客户端版本与服务器版本不一致,说明当前服务器程序版本是新版本,客户端程序版本是老版本,需要升级客户端程序。客户端程序升与服务器版本程序升级到一致后,“!”将自动消失;
③ #:指控制台向客户端计算机发出升级命令后,出现“#”。一旦客户端计算机重新启动,完成升级操作后,“#”自动消失。
1.2.4. 客户端程序卸载
远程卸载客户端程序
在正常情况下,客户端程序可以在控制台上进行远程卸载。操作步骤为:
1)启动控制台程序,连接服务器端计算机;
2)在计算机组节点中,找到需要卸载的客户端计算机节点;
3)在目标需要卸载的客户端计算机节点上,点击鼠标右键,在弹出菜单中选择“卸载客户端”,如图1.2-4所示:
图1.2-4 远程卸载客户端操作界面
4)系统将提示客户端计算机确认卸载,一旦用户确认,客户端计算机将自动启动卸载过程,并弹出对话框提示用户保存数据,如图1.2-5所示。卸载动作完成后,客户端计算机将自动重新启动;
图1.2-5 客户端计算机获得远程卸载命令提示界面
5)客户端计算机重启后,需要客户端计算机再次进行重启,即可完成客户端的程序卸载。
本地卸载客户端程序
如果客户端计算机无法与服务器端计算机通信,可以使用本地卸载客户端程序的方式。
本地卸载客户端程序有两种情况:管理员令牌直接进行本地卸载与管理员令牌给出解锁码进行本地卸载:
使用管理员令牌直接进行本地卸载
1)将管理员令牌插入客户端计算机;
2)在“开始”菜单中,找到卸载系统的快捷方式,若快捷方式不存在,可以在“运行”中输入命令:
TCCSetup / Uninstall.Sure,如图1.2-6所示:
图1.2-6 客户端本地卸载命令
3)点击确定后,系统将提示确认卸载系统。若点击“是”,客户端计算机将启动卸载过程;
4)卸载完成后,客户端计算机将自动重新启动;
5)客户端计算机重启后,需要再次进行重启操作,即可完成卸载操作。
使用管理员令牌给出解锁码进行本地卸载
1)在“开始”——>“运行”中输入命令:cmd,如图1.2-7所示:
图1.2-7 打开DOC命令行界面
2)在命令行窗口中,输入命令“tcccmd uninstall.sure”,如图1.2-8所示:
图1.2-8客户端本地卸载命令2
3)将获取到的数字发送给管理员,管理员在令牌查看器上进行解锁,生成解锁密码,如图1.2-9所示:
图1.2-9 管理员远程解锁界面
4)客户端计算机将管理员解锁后的数字输入后,点击回车,如图1.2-10所示。系统将弹出提示窗口,提示确认卸载系统,若点击“是”,将启动卸载过程;
图1.2-10 客户端解锁码卸载操作界面
5)卸载完成后,客户端计算机将自动重新启动;
6)客户端程序的卸载操作过程中,计算机需进行两次重启操作,才能成功卸载客户端程序。
注意事项
1)当客户端计算机无法正常连接服务器端计算机时,将不会出现“卸载客户端”的菜单,此时只能使用本地卸载方式卸载客户端程序;
2)客户端计算机如果使用了加密策略,如“安全磁盘”、“本地磁盘加密方式”、“操作系统保护开关”等,在
卸载之前,必须要先将数据恢复,否则会造成数据丢失;
3)客户端程序卸载,需要卸载客户端程序的计算机重启两次,才能成功卸载客户端程序;
4)若卸载客户端后的计算机不再作为可信系统的客户端使用,可以在控制台上删除此客户端的计算机节点,系统将自动删除与之相关的其他数据;
5)若客户端程序卸载后,客户端计算机没有重新安装操作系统,则重新安装可信系统客户端后,在控制台上自动使用上次使用的节点。
1.3. 控制台程序安装
1.3.1. 安装环境
硬件环境
至少具有一个空闲的USB端口(支持USB1.0 / 1.1 / 2.0端口);
一台可用的光盘驱动器。
软件环境
程序支持的操作系统:Windows 2000 / Windows 2003 (32位) / Windows 2008 (32位)。
1.3.
2. 控制台程序安装步骤
安装准备
在安装本系统控制台前,请确认以下几个方面:
1)安装光盘中含有控制台安装文件Setup_Z_MMC.exe;
2)您已经拥有合法的管理员令牌;
3)目标安装的计算机可以正确连接服务器端计算机,并确保服务器程序版本和控制台程序版本相同;
4)目标安装的计算机没有安装任何本系统的客户端软件。
5) 如果目标计算机打算同时安装服务器端程序和控制台程序,请先安装控制台程序,并具有合法的令牌。安装过程
1)请将产品安装光盘放入光盘驱动器,找到其中的控制台程序安装目录,执行安装文件
Setup_Z_MMC.exe,请跟随安装向导的指引进行安装操作。在安装过程中,系统将提示选择安装的组件,如图1.3-1所示:
图1.3-1 选择控制台安装组件
“选择安装组件”的具体参数设置说明:
FT99令牌支持+控制台文件:安装控制台文件,默认支持FT99令牌;
eSafe令牌支持+控制台文件:安装控制台文件,默认支持eSafe令牌。此选项适用于已安装有客户端或服务器软件的计算机;
eSafe令牌支持+驱动文件+控制台文件:安装控制台文件和eSafe令牌驱动文件,默认支持eSafe 令牌。此选项适用于没有安装客户端或服务器软件的计算机;
仅安装控制台文件:只安装控制台文件。此选项适用于不重置原来的令牌支持的情况;
2)安装过程中,将要求您输入服务器的IP地址,请输入正确的服务器计算机IP地址以完成安装过程;
3)在完成文件安装后,桌面上会出现“Chinasec(安元TM)可信网络安全平台控制台”的快捷方式,插入管理员令牌后,运行控制台快捷方式的图标即可使用相关功能。详细操作见本手册的“2.软件使用指南”。注意事项
1)如果计算机上只安装了默认支持FT99令牌的控制台,没有安装客户端或者服务器,需要重新安装带eSafe令牌驱动文件的控制台才能使用eSafe令牌(eSafe令牌需要驱动,FT99令牌不需要驱动);
2)在命令行输入“tcccmd key 9”命令可使用FT99令牌,输入“tcccmd key 0”命令可使用eSafe令牌。1.3.3. 控制台程序卸载
用户可以使用两种方式卸载系统的控制台程序:
?方法一:打开系统开始菜单下“所有程序”->“Chinasec(安元TM)可信系统控制台”,点击“卸载Chinasec(安元TM)可信系统控制台”;
?方法二:打开“控制面版”->“添加或删除程序”,在其程序列表中选中“Chinasec(安元TM)可信系统控制台”点击删除。
1.4. 报表统计系统安装
1.4.1. 安装环境
硬件环境
至少具有一个空闲的USB端口(支持USB 1.0 / 1.1 / 2.0端口);
一台可用的光盘驱动器。
软件环境
程序支持的操作系统:Windows 2000 / Windows 2003 (32位) / Windows 2008 (32位)。
1.4.
2. 报表统计系统安装步骤
安装准备
在安装本系统控制台前,请确认以下几个方面:
1)安装光盘中含有报表统计系统的安装文件Setup_Z_WebMMC.exe;
2)目标安装的计算机能够与安装有服务器端程序的计算机通讯,并确保服务器程序版本在 2.2.8 Realease 3以上;
3)若安装有服务器端程序的操作系统启用了防火墙,请确认服务器端计算机使用的端口均处于开放状态。
安装过程
1)请将产品安装光盘放入光盘驱动器,找到其中的报表统计系统安装目录,执行安装文件Setup_Z_WebMMC.exe,执行安装文件后,请跟随安装向导的指引,进行安装操作;
2)在完成报表统计系统程序的安装后,请您重新启动计算机;
3)电脑重启后,在“我的电脑-管理-服务程序和应用-服务”中,查看WSWebService的启停状态,
若WSWebService已启动成功,则证明报表统计系统安装完毕,如图1.4-1所示:
图1.4-1 报表系统服务启动
* 安装提示
如果控制台程序、服务器程序、报表统计管理程序安装在同一台计算机,安装过程中可能会出现文件覆盖的提示,一旦在安装过程中弹出提示窗口,请用户点击“忽略”按钮。
2. 软件使用指南
2.1. 启动控制台
您可以使用下列方式启动综合控制台:
?在“开始”菜单中点击“Chinasec(安元TM)可信系统控制台”;
?点击桌面上的“Chinasec(安元TM)可信系统控制台”快捷方式;
?在快速启动菜单栏中点击“Chinasec(安元TM)可信系统控制台”。
* 注意:操作员需要拥有合法的管理员令牌。
2.2. 控制台布局
综合控制台界面如图2.2-1所示,分为如下区域:
?菜单及按键区域:在控制台上部分,提供一些系统相关的操作;
?模块选择区域:位于控制台左侧的窗口区域,提供各子系统模块选择索引,具体操作方法见下节;
?功能操作区域:位于控制台右侧的窗口区域,提供各种功能的详细操作指引,由于各种功能操作方法不同,请您参看下面各节的操作指南。
图2.2-1 可信系统控制台界面
综合控制台是本系统的控制中心,可以完成所有的控制任务。包括系统管理、用户管理、计算机管理、规则与策略管理以及日志管理:
系统管理:对服务器进行操作,包括设置服务器地址、应用全部系统数据、服务器运行管理、快速重启服务器、系统网络参数设定等;
用户管理:管理系统中的用户信息,主要用于用户的新建、修改、删除、挂失、用户权限管理等;
计算机管理:管理系统中的客户端计算机信息,包括计算机的删除、更新计算机的策略等;
规则策略管理:管理系统中的规则和策略信息,包括规则策略的新建、修改、删除;
日志管理:管理相关的日志记录。
2.3. 系统管理
2.3.1. 系统管理操作介绍
图2.3-1 系统管理操作界面
设置服务器地址
在使用控制台前,需要确认安装有服务器端程序计算机的IP地址,请在控制台左边“ChinaSec(安元TM)可信系统”图标下的“综合控制台”图标处点击右键,在右键菜单中选择“设置服务器地址”,如图2.3-2所示:
图2.3-2
在提示输入服务器名称的对话框中,输入安装有服务器端程序计算机的IP地址或计算机名,如图2.3-3所示:
图2.3-3 设置服务器地址
应用全部系统数据
一旦系统中的数据有所更改(如修改策略、设置内网IP范围、设置服务器IP范围、添加/ 删除计算机、添加/ 删除策略等)。为使这些数据立即生效,需要使用“应用所有数据功能”,使其生效。如图2.3-1所示。
2.4. 用户管理
用户管理功能通过对控制台窗口中的“用户组根节点”进行相关操作实现,主要应用于系统中的用户管理。
组织结构图如图2.4-1所示:
图2.4-1 用户管理组织结构图
系统中有用户组根节点、用户组以及三种形式的用户,以下将做详细解释:
1)用户组根节点:包含所有的用户组、用户。图标后的数字“(X)”指该系统中拥有X个用户。此类用户的图标样例:;
2)用户组:包含多个用户的用户组,图标后的数字“(X)”指该用户组中共有X个用户。用户组中可包括域用户,令牌用户以及口令用户。并且一个用户组中可拥有多种类型的用户。用户组的图标样例:;
3)Windows域用户:Windows的域用户,系统将作为口令用户来管理,此类用户的图标样例;
4)令牌用户:需要结合令牌认证的用户,此类用户的图标样例:;
5)口令用户:不需要令牌或者其他认证,只需要拥有由管理员分配的正确的用户名/ 密码即可成功认证登录的用户,此类用户的图标样例:。